1、總則

1.1、目的

為規(guī)范XXXXX單位的信息系統(tǒng)建設(shè)和工程項(xiàng)目測試驗(yàn)收準(zhǔn)則，特制訂本管理制度。

1.2、范圍

本制度適用于XXXXX單位工程測試驗(yàn)收管理。

1.3、職責(zé)

信息系統(tǒng)建設(shè)和其他信息系統(tǒng)工程類項(xiàng)目的測試和驗(yàn)收主要由項(xiàng)目負(fù)責(zé)人負(fù)責(zé)，必要的時(shí)候可協(xié)調(diào)相關(guān)部門使用人員參與測試和驗(yàn)收。

2、管理細(xì)則

2.1、管理要點(diǎn)

工程驗(yàn)收的內(nèi)容包括全面檢驗(yàn)工程項(xiàng)目所實(shí)現(xiàn)的安全功能，設(shè)備部署、安全配置等是否滿足設(shè)計(jì)要求，工程施工質(zhì)量是否達(dá)到預(yù)期指標(biāo)，工程檔案資料是否齊全等方面。在通過安全測評或測試的基礎(chǔ)上，組織相應(yīng)信息安全專家進(jìn)行工程驗(yàn)收。大型項(xiàng)目可參照《GB/T 20282—2006信息系統(tǒng)安全工程管理要求》。一般項(xiàng)目可按照以下三步驟進(jìn)行項(xiàng)目測試驗(yàn)收工作。

2.2、驗(yàn)收前提

1. 項(xiàng)目合同規(guī)定的建設(shè)任務(wù)已完成，并符合項(xiàng)目的建設(shè)目標(biāo)；
2. 項(xiàng)目的功能、性能等指標(biāo)達(dá)到項(xiàng)目設(shè)計(jì)的要求；
3. 項(xiàng)目已試運(yùn)行3個(gè)月；
4. 項(xiàng)目驗(yàn)收資料齊全。

2.3、安全測評

安全測評階段應(yīng)制定投產(chǎn)與驗(yàn)收測試大綱，在項(xiàng)目實(shí)施完成后，由XXXXX單位和項(xiàng)目承接單位共同組織進(jìn)行測試。

對于第三級以上的應(yīng)用系統(tǒng)整改建設(shè)，由XXXXX單位委托第三方測試單位對系統(tǒng)進(jìn)行安全性測試，并獨(dú)立不受干擾地出具安全性測試報(bào)告。

在測試大綱中應(yīng)至少包括以下安全性測試和評估要求：

1. 配置管理：系統(tǒng)開發(fā)單位應(yīng)使用配置管理系統(tǒng)，并提供配置管理文檔；
2. 安裝、生成和啟動(dòng)程序：應(yīng)制定安裝、生成和啟動(dòng)程序，并保證最終產(chǎn)生了安全的配置；
3. 安全功能測試：對系統(tǒng)的安全功能進(jìn)行測試，以保證其符合詳細(xì)設(shè)計(jì)并對詳細(xì)設(shè)計(jì)進(jìn)行檢查，保證其符合概要設(shè)計(jì)以及總體安全方案；
4. 系統(tǒng)管理員指南：應(yīng)提供如何安全地管理系統(tǒng)和如何高效地利用系統(tǒng)安全功能的優(yōu)點(diǎn)和保護(hù)功能等詳細(xì)準(zhǔn)確的信息；
5. 系統(tǒng)用戶指南：必須包含兩方面的內(nèi)容：首先，它必須解釋那些用戶可見的安全功能的用途以及如何使用它們，這樣用戶可以持續(xù)有效地保護(hù)他們的信息；其次，它必須解釋在維護(hù)系統(tǒng)的安全時(shí)用戶所能起的作用；
6. 安全功能強(qiáng)度評估：功能強(qiáng)度分析應(yīng)說明以概率或排列機(jī)制（如，口令字或哈希函數(shù)）實(shí)現(xiàn)的系統(tǒng)安全功能。例如，對口令機(jī)制的功能強(qiáng)度分析可以通過說明口令空間是否有足夠大來指出口令字功能是否滿足強(qiáng)度要求；
7. 脆弱性分析：應(yīng)分析所采取的安全對策的完備性（安全對策是否可以滿足所有的安全需求）以及安全對策之間的依賴關(guān)系。通?？梢允褂么┩感詼y試來評估上述內(nèi)容，以判斷它們在實(shí)際應(yīng)用中是否會被利用來削弱系統(tǒng)的安全。
8. 測試完成后，項(xiàng)目測試小組應(yīng)提交《測試報(bào)告》，其中應(yīng)包括安全性測試和評估的結(jié)果。不能通過安全性測試評估的，由測試小組提出修改意見，項(xiàng)目開發(fā)承擔(dān)單位應(yīng)作進(jìn)一步修改。

2.4、安全試運(yùn)行

1. 測試通過后，由項(xiàng)目應(yīng)用單位組織進(jìn)入試運(yùn)行階段，應(yīng)有一系列的安全措施來維護(hù)系統(tǒng)安全，它包括處理系統(tǒng)在現(xiàn)場運(yùn)行時(shí)的安全問題和采取措施保證系統(tǒng)的安全水平在系統(tǒng)運(yùn)行期間不會下降。具體工作如下：
2. 監(jiān)測系統(tǒng)的安全性能，包括事故報(bào)告；
3. 進(jìn)行用戶安全培訓(xùn)，并對培訓(xùn)進(jìn)行總結(jié)；
4. 監(jiān)視與安全有關(guān)的部件的拆除處理；
5. 監(jiān)測新發(fā)現(xiàn)的對系統(tǒng)安全的攻擊、系統(tǒng)所受威脅的變化以及其它與安全風(fēng)險(xiǎn)有關(guān)的因素；
6. 監(jiān)測安全部件的備份支持，支持與系統(tǒng)安全有關(guān)的維護(hù)培訓(xùn)；
7. 評估大大小小的系統(tǒng)改動(dòng)對安全造成的影響；
8. 監(jiān)測系統(tǒng)物理和功能配置，包括運(yùn)行過程，因?yàn)橐恍┎惶@眼的改變可能影響系統(tǒng)的安全風(fēng)險(xiǎn)。

在《試運(yùn)行情況報(bào)告》中應(yīng)對上述工作做總結(jié)性描述。

2.5、測試驗(yàn)收

系統(tǒng)安全試運(yùn)行過后，XXXXX單位可以組織由項(xiàng)目開發(fā)承擔(dān)單位和相關(guān)部門人員參加的項(xiàng)目驗(yàn)收組對項(xiàng)目進(jìn)行驗(yàn)收。驗(yàn)收應(yīng)增加以下安全內(nèi)容：

1. 項(xiàng)目是否已達(dá)到項(xiàng)目任務(wù)書中制定的總體安全目標(biāo)和安全指標(biāo)，實(shí)現(xiàn)全部安全功能；
2. 采用技術(shù)是否符合國家、行業(yè)有關(guān)安全技術(shù)標(biāo)準(zhǔn)及規(guī)范；
3. 是否實(shí)現(xiàn)驗(yàn)收測評的安全技術(shù)指標(biāo)；
4. 項(xiàng)目建設(shè)過程中的各種文檔資料是否規(guī)范、齊全；
5. 在驗(yàn)收報(bào)告中也應(yīng)在以下條目中反映對系統(tǒng)安全性驗(yàn)收的情況：

1. 項(xiàng)目設(shè)計(jì)總體安全目標(biāo)及主要內(nèi)容；
2. 項(xiàng)目采用的關(guān)鍵安全技術(shù)；
3. 驗(yàn)收專家組中的安全專家出具安全驗(yàn)收評價(jià)意見。

3、附則

本管理制度由XXXXX單位負(fù)責(zé)解釋，自發(fā)布之日起實(shí)施。